Investigadores de ciberseguridad acaban de revelar un nuevo troyano bancario peligroso originado en Brasil y dirigido a usuarios de Android en España, Portugal, Francia, e Italia.
Llamado extraño, el troyano está intentando robar las credenciales de inicio de sesión de los clientes de 70 bancos. “Siguiendo los pasos de Tetrade, Bizarro está utilizando afiliados o reclutando mulas de dinero para operacionalizar sus ataques, cobrar o simplemente ayudar con transferencias,SecureList de Kaspersky compartió en su informe.
¿Qué es el troyano bancario Bizarro??
Los operadores de Bizarro están utilizando afiliados o reclutando mulas de dinero para hacer operativos sus ataques., cobrando o ayudando así las transferencias. El troyano usa varios componentes, técnicas de ofuscación, y se distribuye a través de ingeniosas tácticas de ingeniería social..
Según los hallazgos de Kaspersky, Bizarro tiene módulos x64 y es capaz de engañar a los usuarios para que compartan sus códigos 2FA en ventanas emergentes falsas.. El troyano utiliza otros trucos para persuadir a las víctimas de que descarguen una aplicación para teléfonos inteligentes.
“También puede utilizar la ingeniería social para convencer a las víctimas de que descarguen una aplicación para teléfonos inteligentes. El grupo detrás de Bizzaro utiliza servidores alojados en Azure y Amazon (AWS) y servidores de WordPress comprometidos para almacenar el malware y recopilar la telemetría," el informe revelado.
Qué sucede una vez que se instala Bizarro Trojan en un dispositivo?
Una vez instalado, el troyano está diseñado para eliminar todos los procesos del navegador en ejecución y finalizar las sesiones existentes con los sitios de banca en línea. Al hacer esto, el troyano asegura que cuando un usuario abre una sesión de banca móvil, Tendrán que registrarse de nuevo, permitir que el malware robe las credenciales de inicio de sesión. Además, Bizarro también deshabilita la función de autocompletar en el navegador y usa ventanas emergentes falsas para recolectar códigos 2FA.. Al principio que fuera, el malware cuenta con un módulo de captura de pantalla.
[Extraño] carga la biblioteca magnification.dll y obtiene la dirección de la función API MagSetImageScalingCallback obsoleta. Con su ayuda, el troyano puede capturar la pantalla de un usuario y también monitorear constantemente el portapapeles del sistema, buscando una dirección de billetera Bitcoin. Si encuentra uno, se reemplaza con una billetera que pertenece a los desarrolladores de malware, Kaspersky explicó.
Sin embargo, el componente más peligroso del troyano Bizarro es su módulo de puerta trasera principal, capaz de realizar más de 100 comandos.
¿Cómo funciona el componente de puerta trasera de Bizarro??
Ante todo, la puerta trasera no se iniciará hasta que el troyano detecte una conexión con uno de los sistemas bancarios en línea codificados. Una vez que se establece una conexión, el troyano puede ejecutar cualquiera de sus comandos.
Algunos de los comandos principales de Bizarro son los siguientes:
- Comandos que permiten a los operadores del servidor de comando y control obtener datos sobre la víctima y administrar el estado de la conexión.;
- Comandos que permiten a los atacantes controlar los archivos ubicados en el disco duro de la víctima;
- Comandos que permiten a los atacantes controlar el mouse y el teclado del usuario;
- Comandos que permiten a los atacantes controlar la operación de puerta trasera., apagar, reiniciar o destruir el sistema operativo y limitar la funcionalidad de Windows;
- Comandos que registran las pulsaciones de teclas;
- Comandos que realizan ataques de ingeniería social.
En conclusión: Operación troyana de Bizarro
Los investigadores de Kaspersky también compartieron que han estado observando varios troyanos bancarios de América del Sur., que amplían sus operaciones principalmente a países europeos. Los operadores de Bizarro están adoptando rápidamente varios trucos técnicos avanzados para complicar el análisis y la detección de malware. Añadiendo las tácticas de ingeniería social inteligentemente diseñadas, el troyano parece ser totalmente capaz de convencer a las víctimas de que proporcionen voluntariamente sus datos financieros personales.
¿Qué otro malware pone en peligro a los usuarios de Android??
Algunas de las últimas muestras de malware del panorama de amenazas de Android incluyen el Software espía Flubot, un malware con gusanos disfrazado de una aplicación de Netflix llamada FlixOnline, y el troyano bancario Ghimob.
El banquero de Ghimob, en particular, parece haber sido desarrollado por los mismos ciberdelincuentes que codificaron el malware Astaroth para Windows. Cabe destacar que los piratas informáticos no utilizaron la tienda oficial de Google Play como canal de distribución.. Para este propósito, los piratas informáticos implementaron aplicaciones maliciosas de Android en sitios y servidores previamente implementados por Astaroth.
Finalmente, a finales de diciembre 2020, investigadores de seguridad informaron de una nueva plataforma de ofuscación como servicio para Android, permitir a los ciberdelincuentes mejorar sus mecanismos de evasión de detección. Larga historia corta, resulta que los piratas informáticos lograron desarrollar una plataforma de servicio totalmente automatizada que protege los kits de paquetes de Android de malware móvil (APK) de detección AV. El servicio está disponible como pago único o suscripción mensual recurrente.. Está traducido al inglés y al ruso., insinuando su origen.